人臉信息是以電子形式記錄的，與已識別或者可識別的自然人有關(guān)的信息，屬于《個人信息保護法》規(guī)定的個人信息?！秱€人信息保護法》關(guān)于個人信息處理原則、規(guī)則、權(quán)利與義務的規(guī)定同樣適用于人臉信息的保護。

　　不僅如此，人臉數(shù)據(jù)是人臉信息載體，特殊主體的人臉數(shù)據(jù)或者達到一定規(guī)模的人臉數(shù)據(jù)的篡改、破壞、泄露或者非法獲取、非法利用，完全有可能對國家安全、公共利益或者個人、組織合法權(quán)益造成危害，有可能被解釋為重要數(shù)據(jù)，得到《數(shù)據(jù)安全法》的特殊保護。

　　總體而言，中國近期立法及政策導向，以及學者們對人臉識別規(guī)制的研究，新興技術(shù)規(guī)制問題引發(fā)的實踐與理論的雙重關(guān)注，已經(jīng)就多元規(guī)制思路達成共識，并且在法律規(guī)制、行政監(jiān)管、行業(yè)自律等層面形成了較為全面的治理體系。

　　但是，無論是《個人信息保護法》《數(shù)據(jù)安全法》，還是其他法律，在人臉信息和人臉數(shù)據(jù)的保護領域主要扮演的是基礎性法律角色，普遍存在可操作性不強的窘境。

　　當前數(shù)據(jù)治理走向復雜、多元、動態(tài)的復雜科學管理范式，無論從國家安全、公共安全還是公民權(quán)利視角，都應根據(jù)對人臉識別技術(shù)應用治理現(xiàn)狀及風險的深刻觀察，在業(yè)已出臺的重要法律基礎上開展更細致的立法工作，科學設計并堅定執(zhí)行符合產(chǎn)業(yè)發(fā)展和安全管理雙重需求的人臉識別技術(shù)應用立法規(guī)制路徑。

　　01 人臉識別應用治理：前端治理為要

　　人臉識別技術(shù)的應用，涉及包括人臉信息和人臉數(shù)據(jù)的采集、使用、存儲、傳輸、提供、刪除等在內(nèi)的整個數(shù)據(jù)生命周期，因而對人臉識別技術(shù)濫用以及由此引發(fā)的安全風險的治理，需要在各個環(huán)節(jié)發(fā)力，縱向上通盤考慮整個應用鏈條進行全面治理，橫向上采取包括立法、執(zhí)法、司法、行業(yè)、社會力量參與、宣傳教育等在內(nèi)的立體化應對措施。

　　不過，就當前人臉識別技術(shù)應用的法律政策規(guī)制而言，包括《刑法》《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《消費者權(quán)益保護法》等在內(nèi)法律政策規(guī)定多屬原則性規(guī)定，本質(zhì)上屬于事后救濟模式，在人臉識別技術(shù)應用的縱向治理鏈條中處于末端，通常在發(fā)生涉人臉識別的民事、刑事、行政案件后才能啟動相關(guān)程序開展治理，雖有一定特殊預防和一般預防效果，但易造成執(zhí)法司法資源的大量消耗，也很難消除海量人臉數(shù)據(jù)泄露和發(fā)生衍生風險的隱患。

　　側(cè)重對現(xiàn)實及潛在風險的前端治理，是網(wǎng)絡時代風險治理的發(fā)展趨勢。

　　例如，犯罪是最嚴重的社會風險之一，但現(xiàn)發(fā)案件和隱案數(shù)量龐大，犯罪發(fā)展的智能化以及網(wǎng)絡犯罪的跨區(qū)、跨國特征，都使有限執(zhí)法資源難以追隨新型犯罪加速的步伐。最合理的應對，必然是要將犯罪治理前置到犯罪前端，采取綜合的技術(shù)與制度性預防策略，推動社會秩序的良性運轉(zhuǎn)，減輕執(zhí)法壓力，減少犯罪損失，減少犯罪的發(fā)生，避免已發(fā)生犯罪的產(chǎn)業(yè)鏈條繼續(xù)延展，從重“打擊”轉(zhuǎn)向重“治理”，構(gòu)建“以防為主、兼重打擊、生態(tài)治理”的應對體系。

　　同理，對人臉信息和人臉數(shù)據(jù)的保護亦應從人臉識別技術(shù)應用的源頭開始，從以民事賠償、行政處罰和刑事處罰為主導的事后救濟模式，轉(zhuǎn)向監(jiān)管部門主動作為、積極介入的前端控制，并以立法或標準形式將《個人信息保護法》等法律規(guī)定的原則轉(zhuǎn)化為具有可操作性的規(guī)范，為監(jiān)管部門提供介入的明確依據(jù)，提供符合一線執(zhí)法特點的規(guī)范“產(chǎn)品”，實現(xiàn)人臉識別技術(shù)應用的有效源頭治理，從而阻斷針對該源頭獲取人臉信息和人臉數(shù)據(jù)的非法使用及泄露問題。

　　在責任分配層面，公安機關(guān)等政府職能部門對于公共秩序、公共場所視頻圖像信息系統(tǒng)、數(shù)據(jù)安全、網(wǎng)絡安全與網(wǎng)絡秩序等負有重要監(jiān)管和保護職責，自然應擔負人臉識別技術(shù)應用前端治理的義務。

　　02 人臉識別專門立法：以增強可操作性為目標

　　《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》已經(jīng)就數(shù)據(jù)、個人信息的保護提供較為全面的原則和規(guī)則指引，《民法典》為相應民事侵權(quán)行為及救濟做出了較為完備的規(guī)定。但是，人臉信息作為一種外露的生物特征，除了具有生物特征信息的普遍性特征，還具有其自身的特殊性，特別是其收集過程無需數(shù)據(jù)主體的配合即可完成，立法需要對由于人臉識別技術(shù)特殊性所帶來的現(xiàn)有法律框架難以妥善解決的問題進行回應。

　　例如：針對公共場所人臉信息的無感收集問題，如何確保個體的明知，并給予其是否接受人臉識別的選擇權(quán)?因為無感采集，個體往往難以知曉被侵權(quán)事實且維權(quán)成本極高，監(jiān)管部門如何補位?針對信息集中帶來的風險問題，在加密存儲人臉數(shù)據(jù)的基礎上，是否應當通過物理或邏輯隔離的方式對人臉數(shù)據(jù)與其他數(shù)據(jù)包(包括其他個人信息)進行分別存儲?當前過于粗疏的立法顯然難以清晰回答這些問題。

　　因此，為便于公安機關(guān)等職能部門的提前介入，避免執(zhí)法標準不一破壞法制統(tǒng)一性，仍有必要通過有更清晰明確指向的立法(特別是行政法規(guī)、部門規(guī)章和其他規(guī)范性文件)，確保職能部門在執(zhí)法過程中能夠充分利用其自身的優(yōu)勢執(zhí)法力量，開展技術(shù)應用可行性評估、安全評估等工作，對人臉信息、人臉數(shù)據(jù)的使用應用場景、影響效果等開展日常監(jiān)測工作，感知技術(shù)應用帶來的網(wǎng)絡傳播趨勢、市場規(guī)則變化、網(wǎng)民行為等信息，預警技術(shù)應用可能產(chǎn)生的不規(guī)范、不公平、不公正等隱患。甚至在人臉識別技術(shù)應用設計及部署環(huán)節(jié)就積極介入，發(fā)現(xiàn)算法應用安全問題，研判算法應用產(chǎn)生的意識形態(tài)、社會公平、道德倫理等安全風險，并提出針對性應對措施。

　　從操作層面來看，需要在上位法框架下，以行政法規(guī)或部門規(guī)章形式，就人臉識別技術(shù)應用有效治理作出規(guī)定，著力化解安全風險。對于人臉識別技術(shù)應用擔負較重職責的政府部門，也有必要在《個人信息保護法》等法律法規(guī)框架下，專門針對本部門出于履行法定職責需要而開展人臉識別技術(shù)應用設定實體和程序規(guī)則。

　　首先，要明確規(guī)定禁止開展人臉識別的場景。

　　應區(qū)分商業(yè)應用、行政執(zhí)法和刑事執(zhí)法等不同需求，分別設定禁用場景，包括建立應用場景的白名單和黑名單制度。需要注意的是，禁用場景往往是目的與程序相結(jié)合的綜合判定。例如，任何應用主體非為醫(yī)療目的并經(jīng)識別對象同意，不得利用人臉識別技術(shù)分析其健康狀態(tài);無合法依據(jù)不得在人臉識別同時利用人臉信息開展情緒、心理活動、宗教信仰等分析活動。即便可以給予最寬松規(guī)制環(huán)境的刑事執(zhí)法，至少也要受到廣義刑事訴訟法有關(guān)偵查取證規(guī)定的制約，仍然存在絕對不可應用和不經(jīng)法定程序不可應用人臉識別技術(shù)的領域。

　　其次，建立人臉識別技術(shù)應用備案和年度評估制度。

　　應當明確要求人臉識別技術(shù)應用者根據(jù)其業(yè)務內(nèi)容向?qū)鞴懿块T進行備案。如，在公共場所安裝攝像頭的人臉識別技術(shù)應用，應在本地公安機關(guān)備案。為了實現(xiàn)更好地監(jiān)管，具備一定規(guī)模(以人臉數(shù)據(jù)處理量或營收規(guī)模等為基準)的人臉識別技術(shù)應用主體應接受定期安全評估，以應用主體向?qū)鞴懿块T提交評估報告為基礎，主管部門視情決定是否開展現(xiàn)場檢查。

　　再次，設定主要應用場景的安全要求。

　　應當在《數(shù)據(jù)安全法》和《個人信息保護法》的強制性規(guī)定之下，以數(shù)據(jù)安全為核心，對人臉信息和人臉數(shù)據(jù)的處理做出明確要求，將這兩部法律的數(shù)據(jù)安全要求和個人信息保護要求落到實處。

　　例如，可以要求人臉數(shù)據(jù)的處理原則上應在本地(終端)完成，除非為了更大法益，不得通過公共網(wǎng)絡傳輸。在個人終端即可實現(xiàn)人臉識別目的的，人臉數(shù)據(jù)不得傳出該設備;人臉數(shù)據(jù)留存最小化，以滿足業(yè)務需求為上限，且需嚴格禁止人臉數(shù)據(jù)用于法律法規(guī)規(guī)定或經(jīng)個人授權(quán)同意之外的其他目的;除非為履行法定職責開展進一步調(diào)查或者履行法定存證義務等目的，已采集或產(chǎn)生的人臉數(shù)據(jù)應在完成人臉識別功能后立即刪除;

　　采用人臉識別技術(shù)的服務停止、數(shù)據(jù)存儲期限屆滿、個人撤回同意授權(quán)(包括積極撤回和消極撤回)時，應當及時刪除人臉數(shù)據(jù);不能將人臉圖片的公開視為理所當然的人臉識別授權(quán)，使用這類人臉數(shù)據(jù)仍需遵循人臉識別技術(shù)應用的一般規(guī)則;人臉識別技術(shù)應用者原則上不能委托第三方處理人臉數(shù)據(jù)，確需委托的，必須事先采取安全措施，確認受托方的數(shù)據(jù)安全保障能力不低于委托方，并簽署相應協(xié)議和配套嚴格監(jiān)管措施。

　　第四，加強對特殊主體的人臉信息保護。

　　針對未成年人，應給予嚴格保護，非為執(zhí)法目的，不得對其應用人臉識別技術(shù)。針對黨和國家領導人，其人臉數(shù)據(jù)也應予以特殊保護，但由于其在新聞報道中的高曝光度，禁止單一的身份識別并無意義，保護目的主要在于防止人臉仿冒和利用人臉識別技術(shù)進行軌跡追蹤等。

　　第五，實行對人臉識別技術(shù)和人臉數(shù)據(jù)的國家保護

　　在中國境內(nèi)采集和產(chǎn)生的人臉數(shù)據(jù)，非經(jīng)有權(quán)部門安全評估和同意，不能出境;人臉識別形成的算法模型，不僅因凝聚了個人信息和開發(fā)者、訓練者智慧而關(guān)聯(lián)知識產(chǎn)權(quán)，而且有可能成為敵對國家覬覦的關(guān)鍵技術(shù)，應當納入管制范疇，非經(jīng)安全評估和主管部門批準，不得向境外輸出。

　　第六，鼓勵滿足一定數(shù)據(jù)采集條件的人臉識別技術(shù)研發(fā)。

　　人臉識別技術(shù)發(fā)展迅猛，但技術(shù)追求永無止境。技術(shù)是雙刃劍，關(guān)鍵看誰在用、如何用和用于誰。對人臉識別技術(shù)應用的治理，不代表著不支持人臉識別技術(shù)的研發(fā)。對于出于研究目的人臉數(shù)據(jù)和人臉信息應用，立法上應給予一定包容。

　　第七、明確監(jiān)管措施。

　　為確保人臉數(shù)據(jù)安全，除了日常性檢查和評估外，給予約談、責令限期整改等權(quán)力外，還應賦予主管部門在發(fā)現(xiàn)人臉識別技術(shù)應用存在緊迫性重大風險時的應急處理權(quán)限。

　　03 公共場所視頻監(jiān)控立法：不可低估的源頭規(guī)制路徑

　　前端采集設備和視頻圖像信息系統(tǒng)是人臉識別技術(shù)應用的最前端，以公共場所攝像頭和智能手機App為主的人臉信息和人臉數(shù)據(jù)采集，既包括人臉識別技術(shù)應用者的主動采集，也包括用戶上傳的被動采集(如用戶在社交網(wǎng)絡平臺分享的人臉圖像被平臺或第三方用于人臉識別)。

　　做好前端準入和安全性評估，是有效解決人臉識別技術(shù)濫用和人臉數(shù)據(jù)泄漏的重要舉措。有關(guān)手機App，工信部等部門曾發(fā)布專門規(guī)范進行治理，在該領域也制定了一些國家標準和行業(yè)標準，治理工作不斷取得進展。但是，有關(guān)公共場所視頻監(jiān)控卻一直缺乏可提供明確指引的高位階立法。

　　公共場所視頻圖像信息系統(tǒng)(含硬件設備和軟件系統(tǒng))一般而言屬于公共安全領域，且主要歸口公安機關(guān)管理。公安部于2016年發(fā)布過《公共安全視頻圖像信息系統(tǒng)管理條例(征求意見稿)》，但基于種種原因，該條例至今未獲頒行。公安機關(guān)對于自建公共安全視頻圖像信息系統(tǒng)有著較為嚴格的內(nèi)部管理程序，但是對于其他部門、企業(yè)、小區(qū)甚至居民自建的監(jiān)控設備缺乏事前監(jiān)管手段?？梢韵胍?，如果該條例早獲通過，公共場所視頻監(jiān)控及相應技術(shù)應用得以規(guī)范，有關(guān)地鐵人臉識別安檢分流、居民住宅樓電梯安裝人臉識別設備等爭議性問題或許不會成為輿論焦點。

　　相比于2016年，目前立法環(huán)境發(fā)生變化，對數(shù)據(jù)安全和個人信息保護的重視程度前所未有，針對網(wǎng)絡和數(shù)據(jù)領域的立法技術(shù)日趨成熟，人們對公共場所視頻監(jiān)控的認識更為理性，宜盡快修改完善并完成立法程序，及早為公共場所采集視頻圖像信息及其處理提供明確執(zhí)法依據(jù)。

　　專門針對公共場所視頻監(jiān)控問題進行立法，應當清晰厘定公安機關(guān)對于全社會公共場所視頻圖像信息系統(tǒng)全流程運轉(zhuǎn)的管理職權(quán)，將公安機關(guān)及其他主體的公共場所視頻監(jiān)控行為均納入規(guī)制范疇。明確規(guī)定可以和不可以安裝視頻圖像信息系統(tǒng)(包括人臉識別模塊)的具體場所;明確視頻圖像信息處理的基本原則、具體規(guī)則、流程和安全保障義務;確定相應罰則以此發(fā)揮公安機關(guān)執(zhí)法資源優(yōu)勢，提升公安機關(guān)服務能力，及時開展公共場所視頻圖像信息系統(tǒng)(包括人臉識別模塊)安裝、使用的可行性和安全性評估;實現(xiàn)執(zhí)法靠前，確保公共場所視頻監(jiān)控僅用于公共安全目的，最大限度避免公共場所視頻圖像信息系統(tǒng)非法處理人臉數(shù)據(jù)。

　　總之，人臉識別技術(shù)仍在飛速發(fā)展，算法精度不斷提升迅速，產(chǎn)品和服務功能迭代迅速，安全風險也將呈現(xiàn)新樣態(tài)。盡管目前已經(jīng)構(gòu)建起了網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護的基本法律體系，但仍需要采取新的規(guī)制措施。

　　國家數(shù)據(jù)戰(zhàn)略資源安全與公民信息安全都要求，科技必須秉承“善意”的發(fā)展理念，只要監(jiān)管部門積極作為，保持密切關(guān)注，緊跟技術(shù)發(fā)展的步伐，積極探索技術(shù)治理和法律政策治理的新路徑，就一定能夠?qū)崿F(xiàn)對規(guī)制方式的及時和動態(tài)的調(diào)適，極大壓縮隱患轉(zhuǎn)化為現(xiàn)實風險的空間。